Хотя SSL и TLS сертификаты остаются неотъемлемым компонентом безопасности веб-сайтов, комплексный аудит безопасности охватывает гораздо больше в современном мире угроз. Поскольку постоянно появляются новые уязвимости, аудит должен проверять широкий спектр средств контроля, чтобы обеспечить надежную защиту.
Безопасность транспортного уровня (TLS) теперь защищает большую часть веб-трафика, ранее защищенного SSL. Хотя имя SSL сохранилось, сам протокол был заменен для устранения присущих ему недостатков. TLS Версия 1.3 обеспечивает важные достижения, такие как улучшенная скорость и шифрование. Тем не менее, сертификаты представляют собой лишь один аспект, который проверяют аудиторы.
Строгий аудит безопасности исследует несколько уровней системы, в том числе:
-
Правила межсетевого экрана
-
Политика паролей
-
Уровни исправлений программного обеспечения
-
Тестирование на проникновение
-
Мониторинг журнала событий
-
Контроль сотрудников
Аудиторы исследуют все аспекты обеспечения безопасности посредством опросов, сканирования, регистрации и попыток вторжений. Взгляд в масштабе всего предприятия выявляет пробелы, уязвимые для компрометации.
Например, устаревший сервер или приложение может позволить злоумышленнику глубже проникнуть в сеть, расширяя доступ. Аналогично, полученные пароли могут предоставлять доступ к другим системам. Комплексный аудит предотвращает подобные сценарии, обеспечивая глубокую защиту.
SSL.com обеспечивает ключевой компонент этой многоуровневой защиты посредством наших идентификационных и серверных сертификатов. Однако мы признаем, что сертификаты сами по себе не представляют собой настоящую безопасность. Это требует скоординированного контроля для блокировки угроз при одновременном обеспечении операций. Регулярные комплексные проверки демонстрируют приверженность организации подлинной безопасности и снижению рисков.
Обеспечение соблюдения HTTPS с помощью HSTS
Аудиторы проверят наличие заголовков HTTP Strict Transport Security (HSTS), которые обеспечивают соблюдение HTTPS в браузерах посредством:
-
Автоматическое перенаправление HTTP-запросов на HTTPS.
-
Остановка атак с удалением SSL
-
Предотвращение проблем со смешанным контентом
HSTS поддерживает реализацию SSL и смягчает распространенные атаки.
Настройки безопасности файлов cookie
Аудиторы проверяют настройки файлов cookie для защиты от таких атак, как XSS:
-
Безопасный флаг – Обеспечивает передачу файлов cookie только через HTTPS.
-
Флаг HttpOnly – Останавливает доступ к файлам cookie с помощью JavaScript.
-
СамСайт – Предотвращает отправку файлов cookie в межсайтовых запросах.
Неправильные настройки файлов cookie делают веб-сайты открытыми для кражи и манипуляций.
SSL /TLS Центральная роль в аудите
Аудит безопасности всесторонне оценивает системы, политики и процедуры для выявления уязвимостей перед их эксплуатацией.
Конфигурация SSL имеет большое значение, учитывая такие угрозы, как:
-
Эксфильтрация данных – Устаревшие протоколы могут позволить перехватывать пароли, сообщения, кредитные карты, медицинские записи и т. д.
-
Внедренное вредоносное ПО – Незашифрованные соединения позволяют атаковать «человек посередине» с целью внедрения вредоносного ПО.
-
Олицетворение домена – Недействительные сертификаты способствуют фишингу и нанесению ущерба бренду.
Аудиторы полностью проверяют полную реализацию SSL во всех службах. Это включает в себя:
-
Наборы шифров, использующие обмен ключами ECDHE и шифрование AES-256.
-
Срок действия сертификата, ключи, подписи, отзыв.
-
Последние TLS только протоколы. Никакого смешанного контента.
-
Сканирование уязвимостей на всех прослушивающих портах.
Устраните любые проблемы, чтобы усилить безопасность и предотвратить нарушения или нарушения требований.
SSL /TLS Контрольный список аудита
Анализ этих критериев имеет решающее значение при подготовке к аудиту:
-
Последние TLS только протоколы – отключить SSLv2, SSLv3, TLS 1.0, TLS 1.1.
-
Никакого смешанного контента. Устраните любые HTTP-ресурсы на страницах HTTPS.
-
Действительные сертификаты — продлите за 30+ дней до истечения срока действия, проверьте подписи и отзовите.
-
Установлены безопасные файлы cookie — флаги HttpOnly и Secure включены правильно.
-
Инвентаризация сертификатов — подробный централизованный список всех сертификатов.
-
Полная проверка цепочки. Включите все необходимые промежуточные продукты.
-
Управление исправлениями. Установите соответствующие обновления безопасности, особенно библиотеки SSL.
-
Мониторинг уязвимостей. Активное сканирование на наличие слабых наборов шифров или протоколов.
Основы исправления
Получив результаты аудита, быстро расставьте приоритеты и устраните уязвимости:
-
Немедленно исправьте результаты высокого и среднего риска.
-
Разработайте план методического решения выявленных проблем по уровням приоритетов.
-
Внедряйте обновления политик, процедур и технологий.
-
Повторите тестирование, чтобы подтвердить полное разрешение.
-
Обновляйте программы обучения на основе полученных знаний.
-
Поддерживайте постоянную связь между командами во время исправления.
-
Используйте системы обеспечения соответствия для оценки улучшений.
